https://technews.tw/2019/03/26/asus-update-software-is-hijacked-and-will-automatically-install-the-back-door-for-you/?utm_source=fb_tn&utm_medium=facebook
https://bit.ly/2YocViJ
华硕更新软件遭劫持，将自动帮你装后门
此事在去年就已开始，于今年 1 月被发现，不过华硕目前似乎还没有向用户告知相关讯
息。据卡巴斯基实验室的研究人员表示，骇客透过华硕官方的服务器在用户的计算机上安
装后门，且使用的是合法的华硕数位签证，使其看起来像真的软件更新。在被发现之前，
此攻击可能已持续了半年以上。
卡巴斯基实验室全球研究和分析团队亚太区总监 Vitaly Kamluk 表示，当研究人员在今
年初联系华硕时，该公司拒绝承认其服务器遭到入侵，并表示此恶意软件是来自其他网络
。但卡巴斯基所收集的恶意软件样本的下载路径是明确的指向华硕服务器。该恶意软件伪
装成 setup.exe，据称是对更新工具本身的更新，且签证是有效的。
卡巴斯基强调，这突显了来自供应链的资安问题，虽然这也不是首见，此前就有间谍工具
针对微软更新来欺骗用户电脑下载恶意软件。不过不太一样的是，当时骇客是重新定向受
害者电脑连上假的更新服务器。类似的案例还有很多，例如 CCleaner 也曾被发现透过软
体更新向用户散播恶意软件，还有臭名昭著的 notPetya 攻击等。
不过卡巴斯基董事 Costin Raiu 指出，此次劫持华硕服务器的手法更加漂亮，在类似的
资安威胁中更加的隐密及难以察觉，且只要不激活基本上很难被用户发现，但即使在非目
标系统上保持沉默，此攻击途径也形同骇客在每个受感染的 ASUS 系统上装有后门，且范
围是相当大规模的。在今年初卡巴斯基刚发现时就有近 57,000 名用户被感染，而目前样
本仅来自于卡巴斯基自己的付费客户，实际受害者可能高达数十万。
不过有趣的是，此种骇客攻击是阶段性且有明确的目标性，是一种外科手术式的精准攻击
，其透过辨识对方的硬件位址来确定是否为攻击目标之后才激活软件。而这也表示，骇客
已提前知道目标的具体硬件位址，而不是随机选择。目前卡巴斯基，只能从恶意软件样本
中解析出 600 多个硬件位址清单，无从得知全貌，也没办法知道第二阶段受害者的身分
是谁。
此次攻击手法被命名为 ShadowHammer，目前卡巴斯基研究人员认为此次骇客与
ShadowPad 和 CCleaner 攻击是同一批团队。华硕原本就是 CCleaner 攻击的主要目标之
一，并推测以此获得对华硕服务器的访问权限。目前确认到骇客使用两种不同的华硕数位
签证来签署他们的恶意软件，一个已在 2018 年中期到期，然而骇客随即切换到第二个合
法签证。目前华硕对此仍无回应。
其实这也不是华硕首次面临资安危机，早在 2016 年就被美国联邦贸易委员会指责，华硕
的网通产品有不少漏洞，可能面临骇客威胁，而华硕承诺建立一项全面性的资安计画，并
进行 20 年期的独立审查。
卡巴斯基已针对此次攻击推出了检测工具，民众可以透过线上检查 MAC 网址，来确定自
己是否是被攻击的目标，并希望受害者能尽速与卡巴斯基联络。技术详情可参考此网页
Operation ShadowHammer 。
https://shadowhammer.kaspersky.com/
https://securelist.com/operation-shadowhammer/89992/